ช่วยอธิบาย load balancing spillover แนะนำการตั้งค่าให้หน่อยครับ

พอดีมีเน็ต 2เส้น  ใช้ firmware V.5.4
WAN#1 มีความเร็ว 200 Mbps
WAN#2  มีความเร็ว 500 Gbps

คือต้องการให้ทำงานหลักที่  WAN#1  เมื่อใช้งานสูงถึง 150 Mbps  ให้เทไปใช้งาน WAN#2 

แล้วเมื่อ WAN#2 ใช้ถึง 400 Mbps ก็ให้เทไป WAN#1 จนเต็ม 200 Mbps  จากนั้นเทไป WAN#2 ทั้งหมดได้หรือไม่

port WAN เสียเหรอครับ

มี Fortigate 100D จำนวน 2 เครื่อง ยังอยู่ในประกัน สามารถ Turn แลกเปลี่ยน เป็น Fortigate 201E เพิ่มส่วนต่าง ได้หรือไม่ครับ

กรณีที่ลง agent ที่ AD จะใช้ในการทำ Sigle Sign-On ครับ (Client ต้อง Join Domain)
ถ้าไม่ลง agent จะไม่สามารถใช้งาน Sigle Sign-On ได้ครับ ซึ่งหมายความว่า จะไม่มี log ขึ้นเช่นกัน
เนื่องจาก AD ไม่รู้ว่าจะคุยกับ Firewall ยังไง agent เปรียบเสมือน ภาษา Sign-On

แต่ถ้าใช้ LDAP แล้วดึง User บน AD มาเป็น User LDAP บน Firewall อีกที จะไม่ต้องลง agent
กรณีนี้จะมี User+IP แสดงที่ Traffic Log ครับ

ผมลองทำตามแล้ว ก็ยังออก Internet ไม่ได้เลยครับ
ผมมีข้อสงสัยอยากสอบถามครับ
1. ระหว่าง SW L3 กับ Firewall ต้องเชื่อมต่อกันยังไงเหรอครับ เสียบสายต่อตรงระหว่าง Interface ของ SW L3 กับ Firewall
 โดยต้องตั้งค่าอะไรเพิ่มเติมยังไงหรือครับ อันนี้ไม่เข้าใจจริงๆครับ เพราะอุปกรณ์ทั้ง 2 เหมือนยังสื่อสารกันไม่ได้เลยครับ เลยเป็นสาเหตุทำให้ออก Internet ไม่ได้

2. ผมสงสัยว่า Interface ของ Firewall ตั้งแต่ Port1-8 ทำไมไม่สามารถแยก Config ได้ ทุก Port เป็นสมาชิกของ Internal
 ทั้งหมดเลย ต้องแยกออกยังไงหรือครับ

อันนี้ถามเพราะไม่เข้าใจจริง ๆ ครับ มือใหม่อยากลองศึกษาจริงๆ ครับ ซื้ออุปกรณ์มือสองมาลองเล่นเอง หมดเยอะแล้วด้วยครับ กรุณาด้วยครับ ขอบคุณครับ...

ขอตอบทีละส่วนดังนี้ครับ (ยาวหน่อยนะ)

ส่วนที่ 1 Config Firewall
ถ้ามองจากภาพ (ขอใช้ตัวอย่างข้างล่างนี้อธิบายทั้งหมดนะครับ)
ผมขอสมมติว่าคุณต่อสายจาก Core SW Port GE0/1 ไปเสียบที่ Firewall Port 1
และต่อสายจาก Firewall Port 2 ไปยัง Router TOT

Config Firewall สำหรับสร้างเส้นทางจาก Firewall ไปยัง Internet
SRC port : Port 1
DST port : Port 2
SRC Address : (อันนี้แล้วแต่ว่าคุณจะให้ IP ไหนออกได้บ้าง ก็สร้าง Object Address มาใส่ตรงนี้ครับ)
DST Address : เลือก Object Address เป็น ALL (อันนี้แบบง่าย ๆ นะ ไม่กรอง Address ปลายทาง ไปได้ทุกที่)
Service : ALL (แบบง่าย ๆ ไม่กรอง Service ปลายทางที่จะไป)
ACTION : ACCEPT

Config Route เพื่อให้มีเส้นทางระหว่าง Firewall กับ Router TOT
- ที่ Firewall ทำ Default Route โดยไปที่ Router > Static Route
Destination : 0.0.0.0/0.0.0.0 (ตรงนี้หมายถึง ไปปลายทางได้ทุก IP)
Interface : Port 2 (เลือกพอร์ตที่เชื่อมต่อกับ ISP เพื่อเป็นทางออกไป เนท)
Gateway : ใส่ไอพีของ Interface ฝั่งตรงข้าม (ในที่นี้จะหมายถึง Interface Router TOT ที่เชื่อมต่อมายัง Firewall ครับ)


Config Firewall สำหรับสร้างเส้นทางจาก Firewall ไปยัง Core Switch
SRC port : Port 2
DST port : Port 1
SRC Address : ALL (เนื่องจากเราจะให้ Traffic จาก Internet ทั้งหมด มายัง Network ที่ต้องการ)
DST Address : เลือก Object Address เป็น Network ปลายทาง (วงของ Client)
Service : ALL (แบบง่าย ๆ ไม่กรอง Service ปลายทางที่จะไป)
ACTION : ACCEPT

Config Route เพื่อให้มีเส้นทางระหว่าง Firewall กับ Core SW (ถ้ามองจากตรงนี้ เรากำลังจะสร้างเส้นทางจาก Firewall ไปยัง Core Switch)
- ที่ Firewall ไปที่ Router > Static Route
Destination : ใส่ Network IP ที่จะให้ Triffic จากที่ใด ๆ สามารถวิ่งเข้าไปยัง Network ดังกล่าว (ในที่นี้คือการทำให้ Firewall รู้จักเส้นทางที่จะไปยัง Network วงนั้น ๆ)
Interface : Port 1 (เลือกพอร์ตที่เชื่อมต่อกับ Core SW เพื่อบอกให้ Router ทราบว่า หากจะไป Network ข้างต้น จะต้องออกทาง Port นี้)
Gateway : ใส่ไอพีของ Interface VLAN ของ Network นั้น ๆ (Network IP กับ Interface VLAN จะเป็นเลขเดียวกัน)


ส่วนที่ 2 Config Core Switch
โยน Default Route มายัง IP ที่ Interface ของ Firewall Port 1 เลยครับ
(ถ้ามองจากตรงนี้ เรากำลังจะสร้างเส้นทางจาก Core Switch ไปยัง Firewall)


ข้อสงสัยที่ถามมาเพิ่มเติม
1. ระหว่าง SW L3 กับ Firewall ต้องเชื่อมต่อกันยังไงเหรอครับ เสียบสายต่อตรงระหว่าง Interface ของ SW L3 กับ Firewall
 โดยต้องตั้งค่าอะไรเพิ่มเติมยังไงหรือครับ อันนี้ไม่เข้าใจจริงๆครับ เพราะอุปกรณ์ทั้ง 2 เหมือนยังสื่อสารกันไม่ได้เลยครับ เลยเป็นสาเหตุทำให้ออก Internet ไม่ได้
ตอบ : เสียบปกตินั่นแหละครับ เพียงแต่อาจต้องดูในเรื่องของ Dulex และ Speed ให้ตรงกัน

วิธีเช็คบน Firewall
Fortigate # config system interface
Fortigate (interface) # edit port1 <<<<< ใส่เลขพอร์ตที่ต้องการ
Fortigate (port1) # show full-configuration
Fortigate (port1) # set speed auto <<<<<<<<<<< เลื่อนไปดูที่บรรทัดนี้ครับ Default จะเป็น Auto (ไม่แนะนำให้ fix speed ของ interface บน firewall ถ้าอยากจะ fix ให้ไปทำบน SW)
Fortigate (port1) # set speed (แล้วพิม ? จะแสดง cmd ว่าสามารถตั้งค่า Duplex และ Speed ได้อย่างไรบ้าง)

2. ผมสงสัยว่า Interface ของ Firewall ตั้งแต่ Port1-8 ทำไมไม่สามารถแยก Config ได้ ทุก Port เป็นสมาชิกของ Internal
 ทั้งหมดเลย ต้องแยกออกยังไงหรือครับ
ตอบ : INTERNAL ถ้า Firmware เก่า ๆ เป็นเพียงแค่ชื่อครับ แต่เดี๋ยวนี้ เฟิร์มแวร์รุ่นใหม่ ๆ ที่รองรับ Security Fabric นำชื่อนี้ไปแยกแยะด้วยครับ
ถ้าเราไม่ได้ใช้งาน Security Fabric หรือไม่ได้สนใจ คำว่า INTERNAL ก็เป็นเพียงแค่ Port ๆ นึง ที่แยก Zone กันอย่างสิ้นเชิง
(แยก Broadcast Domain เลยอะครับ) Port บน Firewall จะไม่เหมือน Port บน Switch ที่อยู่ใน VLAN เดียวกัน จะมองเห็นกัน

ไหน ๆ ก็ไหน ๆ ละ ผมขอแนะนำบทความของผมด้วยแล้วกัน ผมเขียนขึ้นมาเอง
เรื่อง Broadcast Domain ศึกษาได้จากลิ้งนี้ครับ https://netsocieties.blogspot.com/2019/07/understanding-basic-of-vlans-virtual.html

เรื่องของการสร้าง Policy บน Firewall หากไม่เข้าใจ ศึกษาได้จากลิ้งนี้ครับ https://netsocieties.blogspot.com/2019/09/how-to-creating-security-policy-zoning.html

หากมีอะไรสอบถามเพิ่มเติม ทิ้งคำถามไว้ได้เลยครับ
ขอบคุณครับ